Oggi parliamo di Internet of Things, in particolare di una classe di dispositivi che impazza tra i giovanissimi e non solo, gli Smartwatch.
Analizziamo insieme i risultati di un recente studio condotto dagli esperti dell’HP, che confermano che praticamente ogni Smartwatch disponibile sul mercato è vulnerabile a diversi tipi di attacchi informatici. Tra i dispositivi analizzati, anche i popolari Apple Watch e Samsung Gear.
Gli esperti dell’azienda Fortify, di proprietà di HP, hanno testato le funzioni di sicurezza implementate dai 10 Smartwatch più popolari attualmente sul mercato. HP ha verificato la presenza delle 10 principali vulnerabilità elencate dall’organizzazione OWASP per i dispositivi appartenenti all’Internet delle Cose, scoprendo che il 100 per cento degli Smartwatch analizzati conteneva almeno una falla di sicurezza.
I problemi di sicurezza più comuni segnalati da HP includono:
- Processi di autenticazione/Autorizzazione insufficienti: ogni Smartwatch valutato è accoppiato ad un’interfaccia mobile che non implementa autenticazione a due fattori, né tantomeno blocca gli account dopo un numero prefissato di tentativi falliti.
- Mancata adozione dei processi di cifratura per commessioni verso servizi esterni, come quelli erogati da architetture cloud: sebbene tutti i dispositivi analizzati implementino protocolli crittografici SSL/TLS, il 40 per cento degli Smartwatch stabilisce connessioni non sicure a servizi cloud, dimostrandosi vulnerabili a numerosi attacchi incluso il temuto attacco POODLE.
- Assenza meccanismi protezione firmware, ovvero del software che equipaggia gli Smartwatch: Circa il 70 percento degli Smartwatch valutati non proteggono il firmware ne implementano meccanismi per la convalida degli aggiornamenti. In poche parole, questa mancanza si traduce nella possibilità concreta che un attaccante sostituisca il pacchetto di aggiornamento legittimo con uno sviluppato per controllare il dispositivo. Fortunatamente, molti aggiornamenti sono firmati digitalmente per garantirne integrità ed origine e quindi mitigare il rischio di attacchi MITM.
- Interfacce insicure: Tre Smartwatch su dieci utilizzano interfacce che offrono ad un attaccante la possibilità di condurre numerose attività per carpire dati delle vittime. Queste interfacce non implementano meccanismi per limitare i tentativi di accesso esponendo le vittime ad attacchi di brute-force ed in molti casi aiutano un hacker ad indovinare le password attraverso inutili indicazioni che forniscono all’utente.
- Privacy: Tutti gli Smartwatch non proteggono adeguatamente le informazioni personali dell’utente, tra cui nome, indirizzo, data di nascita, peso, sesso, frequenza cardiaca e altre informazioni sensibili.
Lo studio evidenzia la necessità di un nuovo approccio nella progettazione di dispositivi intelligenti, un approccio che consideri i requisiti di sicurezza come fondamentali per la sicurezza e la privacy degli utenti. I produttori di dispositivi dell’Internet delle Cose devono prestare maggiore attenzione alla sicurezza dei clienti in considerazione dei rischi derivanti da attacchi informatici, attacchi peraltro in rapido aumento.
HP non ha rivelato i nomi dei produttori di smartphone dei dispositivi che sono stati valutati, confermando tuttavia che i suoi esperti stanno lavorando con queste aziende per “incrementare la sicurezza nei loro prodotti prima che siano messi sul mercato.“
È sempre più importante riflettere sull’impatto di questi dispositivi in un contesto aziendale, in cui spesso dipendenti non istruiti sulle principali minacce informatiche possono confrontarsi con un utilizzo promiscuo di questa categoria di “device”.
Le vulnerabilità descritte consentono ad un attaccante di rubare informazioni sensibili, quali email, dati relativi a contatti, credenziali utente e molto altro. Siamo davvero disposti a pagare questo prezzo pur di avere sul polso uno Smartwatch di ultima generazione?
fonte qui
Devi effettuare l'accesso per postare un commento.